"Krzysztof 'kw1618' z Warszawy" i6gqgf$fug$...@i...gazeta.pl

> Tak na marginesie ale w temacie logowania:
> Czy podawanie przy logowaniu zawsze pełnego loginu
> i pełnego hasła na pewno jest bezpieczne ?

Jest wygodne. :) Nic nie jest bezpieczne. :)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' e...@e...comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

"AW" i68ujj$fmm$...@n...task.gda.pl

Być może było -- nie chcę czytać całego wątku. :)

Moim zdaniem warto zezwolić na drobne błędy we wprowadzaniu
długich haseł. Jeśli ktoś wprowadzając kilkunastoznakowe
hasło jeden znak wprowadzi błędnie, system powinien to
przyjmować jako wprowadzenie bezbłędne. :)

Można też cwanie liczyć próby wprowadzenia błędnego hasła.

-- jeśli całe hasło jest złe, 6 prób (zamiast stresujących 3)

-- ale jeśli tylko jeden znak jest źle wprowadzony,
próba mogłaby być ignorowana w czasie liczenia,
o ile kolejnym razem nie dojdzie do pomyłki na
tym samym polu

-- podobnie mogłaby być inaczej liczona próba
wprowadzenia hasła z wciśniętym kapslokiem

--
.450-600 to (60-80)%. . 749
. .
VV Ventolin u . . . 739
. 26 . . .1213
^ lipiec 25 . .01 . . .12 . 20 729
. . . 02 . . 11
. . . . 26 . . . g 03040506 .09 . 14 . 19 719
.25 27 04 06 08
P VV .19 . . . . r02VV . 13 . 21 709
. . 05
E 17 20 VV . 2728 31 . 08 16VV 695
VV .10
F . 16 VV23 29 m sierpień 1011 15 VV 690
2324 2829 .01 07 09
13 18 22 24 u 1718 680
22 30 wrzesień
l 21 30 c VV 670
31
/ 1415 h 07 660
VV
m..... ........ ..... ..................y................,,,,,,....;;;;..,
,;;..,,.654...,,..,,..,,..,,..,,..,,03..,,,,..,,..,,
......

do góry

Użytkownik "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
napisał w wiadomości news:i6nbhd$fsk$1@inews.gazeta.pl...

> Być może było -- nie chcę czytać całego wątku. :)
>
> Moim zdaniem warto zezwolić na drobne błędy we wprowadzaniu
> długich haseł. Jeśli ktoś wprowadzając kilkunastoznakowe
> hasło jeden znak wprowadzi błędnie, system powinien to
> przyjmować jako wprowadzenie bezbłędne. :)
>
Zakładasz, że banki są w stanie stwierdzić, ile znaków jest błędnych
(przechowują hasła w oryginalnej postaci).
Teraz sobie uświadomiłem, że przy logowaniu z maskowaniem bank musi
przechowywać hasło w jawnej postaci (a nie wydłużone funkcją mieszającą).
Wydaje mi się to poważnym błędem, bo oznacza dostęp w banku do hasła
użytkownika.
P.G.

do góry

"Piotr Gałka" 4c8f37e2$...@n...home.net.pl

> Użytkownik "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console> napisał
w wiadomości
> news:i6nbhd$fsk$1@inews.gazeta.pl...

>> Być może było -- nie chcę czytać całego wątku. :)

>> Moim zdaniem warto zezwolić na drobne błędy we wprowadzaniu
>> długich haseł. Jeśli ktoś wprowadzając kilkunastoznakowe
>> hasło jeden znak wprowadzi błędnie, system powinien to
>> przyjmować jako wprowadzenie bezbłędne. :)

> Zakładasz, że banki są w stanie stwierdzić, ile znaków jest błędnych (przechowują
hasła w oryginalnej postaci).

Zakładam, że mogą mieć możliwość stwierdzenia, ile znaków jest
błędnych i jak duże są to błędy -- na przykład czy wciśnięty
kapslok lub doszło do wstukania klawisza leżącego ,,obok''
klawisza ,,dobrego''.

Jak zrealizować tę możliwość? -- na razie nie zastanawiam się nad
tym, jako że najpierw trzeba by zmian w podejściu (myśleniu o) do
zasad ,,bezpieczeństwa'' logowania. :)

> Teraz sobie uświadomiłem, że przy logowaniu z maskowaniem bank musi przechowywać
hasło w jawnej postaci (a nie wydłużone funkcją
> mieszającą).
> Wydaje mi się to poważnym błędem, bo oznacza dostęp w banku do hasła użytkownika.

A zwykły Kowalski uważa, że niebezpieczne jest dopiero podawanie
całego hasła i całego loginu. :)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' e...@e...comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

Piotr Gałka <p...@C...pl> writes:

> Teraz sobie uświadomiłem, że przy logowaniu z maskowaniem bank musi
> przechowywać hasło w jawnej postaci (a nie wydłużone funkcją
> mieszającą).
> Wydaje mi się to poważnym błędem, bo oznacza dostęp w banku do hasła
> użytkownika.

Bank zawsze ma dostep do hasla usera. Nawet gdyby zaszyfrowanie
(zrobienie skrotu itp) bylo realne kryptograficzne (przy dluzszych
haslach), to przy najblizszym uzyciu hasla bank znow je bedzie znal.
W kazdym razie uzytkownik nigdy nie bedzie mial gwarancji, ze jego haslo
jest dobrze chronione przez bank.
--
Krzysztof Halasa

do góry

On 9/14/2010 4:09 PM, Krzysztof Halasa wrote:

> Bank zawsze ma dostep do hasla usera.

no rozroznijmy bank od aplikacji chodzącej na serwerze.
to nie to samo.

do góry

"witek" i6oota$735$...@i...gazeta.pl

> no rozroznijmy bank od aplikacji chodzącej na serwerze. to nie to samo.

Rzeczywistość jest bardziej skomplikowana, ale chyba nie należy
podejrzewać Aliora o stosowanie wyrafinowanych metod. :)

Kiedyś to się nazywało ,,wiem, ale nie powiem'' -- nie
znam postępów czynionych ostatnio. :)

-=-

Wracając do hasłologii i nadzabezpieczeń...
Nawrzucałem w sklepie do wózka zakupów i jadę z tym na nieruchome
schody ruchome... Schody proponują mi podanie hasła uruchomieniowego...
Ani klawiatury nie ma rozsądnej, ani ja tego hasła nie znam, a zapewne
wiadome hasło z Seksmisji by nie przeszło... ;)

No i zepchnąłem wózek ,,przemocą''...
Raczej nie tyle schodami to coś było, co pochylnią ruchomą -- tyle,
że wówczas nieruchomą. :) Wózek blokowany był tam zmyślnym kształtem
,,okołokół'' i nie zsuwał się samoistnie pod wpływem znanej wszystkim
sile G... :) Musiałem pchać go brutalnie!!!

--
.`'.-. ._. .-.
.'O`-' ., ; o.' e...@e...comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

witek <w...@g...pl.invalid> writes:

>> Bank zawsze ma dostep do hasla usera.
>
> no rozroznijmy bank od aplikacji chodzącej na serwerze.
> to nie to samo.

No ale przeciez nie chodzi o system dostepny dla "zwyklego" personelu.
Aplikacja sprawdzajaca haslo musi je znac (przynajmniej w momencie
sprawdzania), na to nie ma rady oprocz kryptografii asymetrycznej.

Z tym, ze to jest nieco trudniejsze dla "Kowalskiego" niz haslo
i formularz na WWW. Zwlaszcza jesli ma byc zrobione dobrze.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3r5gwq9bu.fsf@intrepid.localdomain...

> Aplikacja sprawdzajaca haslo musi je znac (przynajmniej w momencie
> sprawdzania), na to nie ma rady oprocz kryptografii asymetrycznej.
>
Według mnie nie musi.
Hasło powinno być na komputerze użytkownika wydłużane kryptograficznie (np.
milion operacji mieszania) i dopiero takie wysyłane do systemu banku i w
systemie tylko takie przechowywane. Przy zmianie hasła również do systemu
trafiają tylko wersje wydłużone starego i nowego.
P.G.

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:i6oota$735$3@inews.gazeta.pl...
> On 9/14/2010 4:09 PM, Krzysztof Halasa wrote:
>
>> Bank zawsze ma dostep do hasla usera.
>
> no rozroznijmy bank od aplikacji chodzącej na serwerze.
> to nie to samo.

Według mnie dostęp musi mieć tylko aplikacja chodząca na komputerze
użytkownika, do serwera leci już skrót (a właściwie wydłużenie ;-) ).
P.G.

do góry